Tento pokyn pro zpracování osobních údajů (dále jen Pokyn) byl vypracován v souladu s federálním zákonem ze dne 27. července 2006. č. 152-FZ „O osobních údajích“. Tento pokyn vymezuje postup zpracování osobních údajů a opatření k zajištění bezpečnosti osobních údajů ve společnosti CardsProService sro za účelem ochrany práv a svobod fyzických osob a občanů při zpracování jejich osobních údajů, včetně ochrany práv na soukromí, ochranu osobnosti a rodiny. tajemství.
1. POJMY A DEFINICE
1) Osobní informace- jakékoli informace týkající se přímo nebo nepřímo identifikované nebo identifikovatelné fyzické osoby (předmět osobních údajů);
2) Operátor (zákazník) - státní orgán, orgán obce, právnická nebo fyzická osoba, samostatně nebo společně s jinými osobami organizující a (nebo) provádějící zpracování osobních údajů, jakož i stanovení účelů zpracování osobních údajů, složení osobních údajů, které mají být zpracovány , úkony (operace) prováděné s osobními údaji;
3) Zpracování osobních údajů- jakákoliv akce (operace) nebo soubor akcí (operací) prováděné pomocí automatizačních nástrojů nebo bez použití takových prostředků s osobními údaji, včetně shromažďování, zaznamenávání, systematizace, shromažďování, ukládání, upřesňování (aktualizace, změny), vytěžování, použití, přenos (distribuce, poskytování, přístup), depersonalizace, blokování, mazání, likvidace osobních údajů;
4) Automatizované zpracování osobních údajů- zpracování osobních údajů pomocí výpočetní techniky;
5) Šíření osobních údajů- akce zaměřené na zpřístupnění osobních údajů neurčitému počtu osob;
6) Poskytování osobních údajů- akce zaměřené na zpřístupnění osobních údajů určité osobě nebo určitému okruhu osob;
7) Blokování osobních údajů- dočasné zastavení zpracování osobních údajů (s výjimkou případů, kdy je zpracování nezbytné pro upřesnění osobních údajů);
8) Zničení osobních údajů- úkony, v jejichž důsledku znemožní obnovení obsahu osobních údajů v informačním systému osobních údajů a (nebo) v jejichž důsledku dojde ke zničení hmotných nosičů osobních údajů;
9) Oprávněné osoby Zákazníka- osoby jednající v souladu s dohodou o
důvěrnosti uzavřené se Zákazníkem.
10) Odepersonalizace osobních údajů- úkony, v jejichž důsledku je nemožné určit vlastnictví osobních údajů ke konkrétnímu subjektu osobních údajů bez použití dalších informací;
11) Informační systém osobních údajů- souhrn osobních údajů obsažených v databázích a informačních technologiích a technických prostředcích, které zajišťují jejich zpracování;
12) Přeshraniční přenos osobních údajů- předání osobních údajů na
území cizího státu orgánu cizího státu, zahraniční fyzické osobě nebo zahraniční právnické osobě;
13) Vykonavatel- CardsProService LLC (123610, Moskva, nábřeží Krasnopresněnskaja, budova 12, kancelářská budova 1, ID místnosti, místnost 42; OGRN 1157746550070).
2. OBJEDNÁVKA KE ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ
2.1. Zákazník, jakožto Provozovatel osobních údajů, v souladu s čl. 3 čl. 6 spolkového zákona ze dne 27. července 2006 č. 152-FZ „O osobních údajích“, nařizuje a zhotovitel se zavazuje zpracovávat osobní údaje subjektů v zájmu objednatele a podle
Uživatelská smlouva.
3. POSTUP PRO INTERAKCI STRAN
3.1. Základem pro zpracování osobních údajů subjektů ze strany Dodavatele prováděné v zájmu Zákazníka je Uživatelská smlouva.
3.2. Postup organizace shromažďování souhlasů subjektů osobních údajů se zpracováním a předáváním jejich osobních údajů, jakož i účely zpracování osobních údajů, složení osobních údajů, které mají být zpracovány, úkony (operace) prováděné s osobními údaji:
3.2.1. Účel zpracování osobních údajů.
Zpracování osobních údajů je pověřeno za účelem realizace věrnostních programů.
3.2.2. Seznam osobních údajů, jejichž zpracováním je pověřen Zhotovitel
- Celé jméno;
- Místo, rok a datum narození;
- Kontaktní číslo;
- Registrační adresa;
- Adresa místa skutečného bydliště (pobytu);
- Údaje o pasu (série, číslo pasu, kdo a kdy byl vydán);
- Telefonní číslo (domů, práce, mobil).
- Shromažďování osobních údajů.
- Systematizace osobních údajů.
- Shromažďování osobních údajů.
- Využívání osobních údajů pro realizaci věrnostních programů a komunikaci se subjekty osobních údajů.
- Uchovávání osobních údajů.
- Vyjasnění (aktualizace, změna) osobních údajů:
- Těžba (vykládka) - na základě dodatečných písemných pokynů Zákazníka.
- Depersonalizace osobních údajů:
-
- na zákonnou žádost subjektu osobních údajů s povinným písemným oznámením Zákazníkovi;
- na žádost státních regulačních orgánů pro ochranu práv subjektů osobních údajů s povinným písemným oznámením Zákazníkovi. - Blokování osobních údajů:
- na základě dodatečných písemných pokynů Zákazníka;
- na zákonnou žádost subjektu osobních údajů s povinným písemným oznámením Zákazníkovi;
- na žádost státních regulačních orgánů pro ochranu práv subjektů osobních údajů s povinným písemným oznámením Zákazníkovi. - Smazání osobních údajů:
- na základě dodatečných písemných pokynů Zákazníka;
- na zákonnou žádost subjektu osobních údajů s povinným písemným oznámením Zákazníkovi;
- na žádost státních regulačních orgánů pro ochranu práv subjektů osobních údajů s povinným písemným oznámením Zákazníkovi. - Likvidace osobních údajů - na základě dodatečných písemných pokynů Zákazníka.
Zpracování osobních údajů musí být omezeno na dosažení konkrétních, předem stanovených a legitimních účelů. Zpracování osobních údajů, které je neslučitelné s účely shromažďování osobních údajů, není povoleno.
Není dovoleno spojovat databáze obsahující osobní údaje, jejichž zpracování je prováděno pro účely, které jsou vzájemně neslučitelné.
Předmětem zpracování jsou pouze osobní údaje, které splňují účely jejich zpracování.
Obsah a objem zpracovávaných osobních údajů musí odpovídat uvedeným účelům zpracování. Zpracovávané osobní údaje by neměly být nadbytečné ve vztahu k uvedeným účelům jejich zpracování.
Při zpracování osobních údajů musí být zajištěna přesnost osobních údajů, jejich dostatečnost a také relevance ve vztahu k účelům zpracování osobních údajů.
Uchovávání osobních údajů musí být prováděno formou umožňující identifikaci subjektu osobních údajů, ne déle, než vyžadují účely zpracování osobních údajů, pokud smluvní podmínky neurčují jinak. Zpracovávané osobní údaje podléhají zničení nebo depersonalizaci při dosažení cílů zpracování nebo v případě ztráty potřeby těchto cílů dosáhnout, pokud smluvní podmínky neurčují jinak.
3.2.5. Organizace ochrany osobních údajů
Předměty ochrany
- informace obsahující osobní údaje subjektů;
- Počítačová média obsahující osobní údaje subjektů;
- informační systémy osobních údajů;
- osobní údaje subjektů obsažené v elektronických databázích informačních systémů osobních údajů.
Pro zajištění bezpečnosti osobních údajů je Dodavatel povinen přijmout následující opatření:
- Nezbytná právní, organizační a technická opatření nebo zajištění jejich přijetí k ochraně osobních údajů před neoprávněným nebo nahodilým přístupem, zničením, úpravou, blokováním, kopírováním, poskytováním, šířením osobních údajů, jakož i před jiným protiprávním jednáním v souvislosti s osobními údaji.
- Zajištění přístupu zaměstnanců Zhotovitele k osobním údajům zpracovávaným jménem Zákazníka po jejich podepsání Závazku mlčenlivosti o osobních údajích, prostudování požadavků Zákazníka na postup při zpracování a ochraně osobních údajů, místních předpisů upravujících postup při organizování a zajišťování ochrany osobních údajů a absolvování školení o postupu při nakládání s osobními údaji.
- Identifikace ohrožení bezpečnosti osobních údajů při jejich zpracování v informačních systémech osobních údajů.
- Aplikace organizačních a technických opatření k zajištění bezpečnosti osobních údajů při jejich zpracování v informačních systémech osobních údajů nezbytných ke splnění požadavků na ochranu osobních údajů, jejichž realizací jsou zajištěny úrovně zabezpečení osobních údajů stanovené vládou ČR. Ruská Federace.
- Posouzení účinnosti přijatých opatření k zajištění bezpečnosti osobních údajů před uvedením informačního systému osobních údajů do provozu.
- Účetnictví pro počítačová paměťová média osobních dat.
- Zjišťování skutečností neoprávněného přístupu k osobním údajům a přijímání opatření.
- Obnova osobních údajů upravených nebo zničených v důsledku neoprávněného přístupu k nim.
- Stanovení pravidel pro přístup k osobním údajům zpracovávaným v informačním systému osobních údajů a dále zajištění evidence a účtování všech úkonů prováděných s osobními údaji v informačním systému osobních údajů.
- Sledování přijatých opatření k zajištění bezpečnosti osobních údajů a úrovně zabezpečení informačních systémů osobních údajů.
Likvidaci osobních údajů subjektů může zhotovitel provést pouze:
- na základě dodatečných písemných pokynů Zákazníka;
- na zákonnou žádost subjektu osobních údajů s povinným písemným oznámením Zákazníkovi;
- na žádost státních regulačních orgánů pro ochranu práv subjektů osobních údajů s povinným písemným oznámením Zákazníkovi.
3.2.8. Postup pro ukončení zpracování osobních údajů
Ukončení zpracování osobních údajů se provádí:
- v případě ukončení smluvního vztahu, který je základem pro zpracování osobních údajů;
- na základě dodatečných písemných pokynů Zákazníka;
- na základě písemného nařízení vládních regulačních orgánů.
4. PRÁVA A POVINNOSTI STRAN
4.1. Zákazník se zavazuje:
4.1.1. Pokud subjekt osobních údajů odvolá souhlas se zpracováním osobních údajů a neexistují žádné důvody uvedené v odstavcích 2 - 11 části 1 článku 6, části 2 článku 10 a části 2 článku 11 federálního zákona ze dne 27. , 2006 č. 152-FZ „O osobních údajích“, které lze zpracovávat
osobních údajů bez souhlasu subjektu zašlete zhotoviteli písemný příkaz k provedení prací na výmazu nebo depersonalizaci osobních údajů subjektu.
4.1.2. Po obdržení žádosti subjektu osobních údajů o poskytnutí informací uvedených v části 7 článku 14 federálního zákona ze dne 27. července 2006 č. 152-FZ „O osobních údajích“ nebo požadavků subjektu na upřesnění jeho osobních údajů, jejich blokování nebo likvidaci v případě, že jsou osobní údaje neúplné, neaktuální, nepřesné, získané nezákonně nebo nejsou nutné pro uvedený účel zpracování, zašlete zhotoviteli písemnou objednávku na
poskytování informací nebo provádění konkrétních úkonů s osobními údaji subjektu.
4.2. Dodavatel se zavazuje:
4.2.1. Zpracovávat osobní údaje zákonným způsobem, přesně v souladu s podmínkami tohoto Pokynu.
4.2.2. Na první písemnou žádost Zákazníka předat (vrátit) databáze osobních údajů zpracovávané jeho jménem způsobem uvedeným v žádosti.
4.2.4. Na výzvu oprávněného orgánu ochrany práv subjektů osobních údajů doložte obdržení souhlasů subjektů osobních údajů získaných v rámci tohoto Pokynu ke zpracování jejich osobních údajů nebo doklad o existenci důvody uvedené v odstavcích 2 - 11 části 1 článku 6, části 2 článku 10 a části 2 článku 11 federálního zákona ze dne 27. července 2006 č. 152-FZ „O osobních údajích“, který umožňuje zpracování osobních údajů údaje bez souhlasu subjektu.
Tato informace je jakákoli akce nebo operace s osobními údaji subjektu: shromažďování, zaznamenávání, systematizace, shromažďování, ukládání, objasňování, vytěžování, použití, přenos, depersonalizace, blokování, vymazání, zničení.
Proč shromažďovat informace o subjektu a souhlasit s jeho analýzou?
Pro klienta/pacienta
Informace o zdravotním stavu občana patří do zvláštní kategorie osobních údajů. Podle části 2, odstavec 4, čl. 10 federálního zákona č. 152 je zpracování takových informací povoleno bez souhlasu subjektu za předpokladu, že je prováděno pro účely:
- stanovení diagnózy;
- prevence nemoci;
- poskytování lékařských a zdravotně-sociálních služeb.
Toto pravidlo platí pro situace, kdy zpracování provádí odborný lékař, který je povinen zachovávat lékařské tajemství v souladu s právními předpisy Ruské federace.
Výjimkou jsou situace, kdy není možné získat souhlas, ale je nezbytný pro ochranu života nebo zdraví pacienta.
Pokud osoba využívá jakoukoli službu - uzavře smlouvu, požádá o úvěr - to znamená, že je klientem, mohou být osobní údaje o ní zpracovány také v souladu s federálním zákonem č. 152.
Klientské údaje lze použít pro:
- Poskytování poradenských, informačních a zprostředkovatelských služeb.
- Uzavření a uzavření smlouvy s klientem.
- Provádění HR a účetních služeb.
- Jiné transakce, které nejsou zakázány legislativou Ruské federace.
Pro zaměstnance organizace
- Registrace občanských smluv s občany stanovená právními předpisy Ruské federace a chartou podniku.
- Personální evidence, dodržování zákonů a evidence povinností z pracovněprávních a občanskoprávních smluv.
- Pomoc při hledání zaměstnání, získání vzdělání nebo povýšení, registrace a využívání výhod.
- Zajištění osobní bezpečnosti zaměstnance a bezpečnosti majetku.
- Dodržování požadavků daňové a důchodové legislativy při výpočtu příspěvků na penzijní připojištění.
- Vytváření statistik v souladu s pracovním, daňovým řádem a federálními zákony.
- Sledování práce vykonávané zaměstnancem.
(článek 86 „Zákoníku práce Ruské federace“ ze dne 30. prosince 2001 č. 197-FZ). Osobní údaje o zaměstnanci klasifikovaném jako „zvláštní“ nepodléhají zpracování ze strany zaměstnavatele.
Musí být stanovena doba platnosti souhlasu se zpracováním osobních údajů, může se jednat o konkrétní datum nebo událost, například výpověď nebo odvolání souhlasu zaměstnancem.
Příklady
Bankovní sektor
Finanční banka. Účelem zpracování osobních údajů klienta je provádění bankovních a jiných operací, počítaje v to:
- Otevření a vedení bankovních účtů.
- Převod peněz na bankovní účty.
- Převod finančních prostředků od fyzických osob - fyzických a právnických osob bez otevření bankovního účtu.
- Nákup a prodej cizí měny.
- Poskytování konzultačních a informačních služeb, mimo jiné prostřednictvím e-mailové adresy.
Lékařská organizace
Lékařská organizace "Zdraví". Účel zpracování:
- Organizace lékařské péče.
- Vydávání preferenčních receptů.
- Placení účtů v systému povinného zdravotního pojištění a dobrovolného zdravotního pojištění.
- Použití pro statistiku a výzkumnou práci.
- Informování prostřednictvím SMS upozornění o výsledcích testů, probíhajících akcích a pracovních plánech specialistů.
Závěr
S klientem či pacientem není vše tak jednoduché, jak se na první pohled zdá. Jen tak bez souhlasu a upozornění je nelze převést na třetí osoby ani použít k účelům, se kterými subjekt nesouhlasí. Pokud se člověk potýká s tím, že došlo k úniku jeho osobních údajů, může se vždy obrátit na Roskomnadzor nebo soud.
Nenašli jste odpověď na svou otázku? Zjistit, jak přesně vyřešit váš problém - zavolejte hned:
V souladu s částí 2 Čl. 85 zákoníku práce Ruské federace zpracování osobních údajů zaměstnanců - jedná se o příjem, uchovávání, kombinování, přenos nebo jakékoli jiné použití osobních údajů zaměstnance.
Zpracování osobních údajů zaměstnance může být prováděno výhradně za účelem zajištění dodržování zákonů a jiných předpisů, pomoci zaměstnanci při zaměstnávání, školení a povýšení, zajištění bezpečnosti hlavního města, jakož i sledování množství a kvality odvedené práce. vykonává a zajišťuje bezpečnost majetku (článek 1 článek 86 zákoníku práce Ruské federace).
Podle odstavce 3 Čl. 3 spolkového zákona „O osobních údajích“ jsou zpracováním osobních údajů úkony (operace) s osobními údaji, včetně shromažďování, systematizace, shromažďování, ukládání, vyjasňování (aktualizace, změny), používání, distribuce (včetně přenosu), depersonalizace , blokování , likvidaci osobních údajů. Je třeba si uvědomit, že bez ohledu na počet funkčních operací uvedených v legislativě musí právní úprava pokrývat všechny fáze zpracování osobních údajů – od přijetí až po likvidaci, bez jakýchkoli výjimek a výjimek.
Zásady zpracování osobních údajů zahrnují následující:
- zákonnost účelů a způsobů zpracování a spravedlnost;
- soulad účelů zpracování s cíli předem stanovenými a uvedenými při shromažďování osobních údajů, jakož i s pravomocemi provozovatele;
- soulad objemu a povahy zpracovávaných údajů, způsobů zpracování s účely jejich zpracování;
- spolehlivost osobních údajů, jejich dostatečnost pro účely zpracování, nepřípustnost zpracování osobních údajů, které nesouvisí s účely uvedenými při shromažďování údajů;
- nepřípustnost spojování databází informačních systémů osobních údajů vytvořených pro neslučitelné účely.
Zpracování osobních údajů zaměstnance začíná jejich přijetím. Obecně platí, že veškeré osobní údaje by měly být získány od samotného zaměstnance. Ve výjimečných případech, kdy lze osobní údaje zaměstnance získat pouze od třetí strany, je třeba na to zaměstnance předem upozornit a získat od něj písemný souhlas. Zaměstnavatel je povinen informovat zaměstnance o účelech, zamýšlených zdrojích a způsobech získávání osobních údajů, jakož i o povaze osobních údajů, které mají být obdrženy, a důsledcích odmítnutí zaměstnance udělit písemný souhlas s jejich přijímáním (odst. 3 článku 86 zákoníku práce Ruské federace). Zaměstnavatel však nemá právo přijímat a zpracovávat osobní údaje zaměstnance o jeho politickém, náboženském a jiném přesvědčení a soukromém životě (článek 4 článku 86 zákoníku práce Ruské federace). Zaměstnavatel také nemůže požadovat informace o zdravotním stavu zaměstnance, pokud se to netýká otázky schopnosti zaměstnance vykonávat pracovní funkci (článek 88 zákoníku práce Ruské federace).
Zákoník práce Ruské federace ukládá určité požadavky na organizaci a technologii zpracování osobních údajů zaměstnavatelem. Povinnost seznámit zaměstnance a jejich zástupce proti podpisu s dokumenty zaměstnavatele stanovujícími postup při zpracování osobních údajů zaměstnanců, jakož i s jejich právy a povinnostmi v této oblasti, předpokládá potřebu vypracovat a přijmout vhodný místní regulační právní akt . Takový akt, v závislosti na specifikách činnosti a uvážení zaměstnavatele, lze nazvat nařízením nebo pokynem a zpravidla obsahuje následující oddíly:
- základní pojmy a ustanovení;
- zpracování osobních údajů zaměstnanců;
- generování osobních údajů zaměstnanců;
- Záznam, ukládání a přenos osobních údajů zaměstnanců;
- práva a povinnosti zaměstnance v oblasti zpracování a ochrany jeho osobních údajů.
Takový místní regulační právní akt určuje režim důvěrnosti (omezený přístup) osobních údajů zaměstnance u konkrétního zaměstnavatele. Zaměstnanci zaměstnavatele, kteří přebírají osobní údaje zaměstnance, jsou povinni tento režim dodržovat, což musí mít uvedeno nejen v náplni práce, ale i v pracovních smlouvách s nimi uzavíraných. Nařízení (pokyn) o ochraně osobních údajů je hlavním dokumentem odrážejícím specifika zpracování a předávání osobních údajů zaměstnance v rámci konkrétní organizace, pro konkrétního fyzického podnikatele. Je-li součástí této činnosti automatizovaná složka, nemá zaměstnavatel právo rozhodovat o zaměstnanci na základě osobních údajů získaných výhradně v důsledku jejich automatizovaného zpracování nebo elektronického příjmu (ust. 6 § 86 zákoníku práce Ruská federace). Zaměstnavatel se nesmí omezit na přijetí ustanovení o ochraně osobních údajů zaměstnanců ve své organizaci. Přítomnost tohoto místního zákona je však povinná a jeho absence je státním inspektorátem práce považována za závažné porušení pracovněprávních předpisů.
Za toto a další porušení pravidel upravujících příjem, zpracování a zaměstnance může zaměstnavatel vyvodit viníky hmotné a kázeňské odpovědnosti a příslušné orgány státní správy občanskoprávní, správní a trestněprávní odpovědnost.
Provádí se na základě dodržování zákonů a jiných předpisů.
Jaké je zpracování osobních údajů? Tento proces zahrnuje následující kroky:
Právní úprava práce s osobními údaji pokrývá všechny procesy a fáze práce s nimi.
cílová
Proč je zpracování osobních údajů nezbytné? Zpracování osobních údajů zaměstnance se provádí v podniku nebo organizaci za účelem jeho usnadnění.
Hlavní účely zpracování osobních údajů:
- při získávání zaměstnání;
- při umístění ve vzdělávací instituci nebo za účelem školení, pokročilého školení;
- za účelem ochrany práce;
- pro povýšení a kontrolu nad kariérními příležitostmi;
- sledovat množství a kvalitu odvedené práce.
Legislativa upravuje shromažďování a předávání osobních údajů zaměstnance výhradně za účelem jeho rozvoje a přiměřeného využití jeho schopností a zkušeností. ,
zahrnují multifunkční cíle.
Mezi účely zpracování osobních údajů zaměstnanců patří použití a zpracování osobních údajů prostřednictvím jejich syntézy a vzájemného vztahu, které určují relevanci schopností zaměstnance v podmínkách organizace výrobního procesu.
Stanovené a uvedené cíle zpracování osobních údajů nelze bez upozornění zaměstnance měnit.
Provedený kým?
Osobními údaji se rozumí informace, které obsahují základní informace o osobě, která je zajímavá pro určitý okruh představitelů státní správy a dalších služeb.
Zejména ve výrobě (v organizaci) jsou osobní údaje zajímavé pro zaměstnavatele, který řídí organizaci práce ve výrobě na základě informací o svých zaměstnancích.
Zaměstnavatel má právo požadovat jakékoli osobní údaje dostupné v evidenci zaměstnance. Kromě něj má přístup k osobním údajům omezený okruh osob, které provádějí operativní práce. Zpravidla se jedná o pracovníky sekretariátu a personálního oddělení.
Provozovatel provádějící informační činnost s osobními údaji se před zahájením určených prací podrobuje poučení. Seznamuje se s provozním řádem a zásadami zákazu sdělování informací obsažených v osobních údajích.
Realizace uvedených typů prací může sledovat výhradně účely, které byly důvodem shromažďování informací. Zneužití osobních údajů nebo jejich zveřejnění je považováno za hrubé porušení, za které je vyvozována odpovědnost.
Porušení
Jak již bylo uvedeno výše, porušením při zpracování osobních údajů se rozumí:
Práce provozovatele s osobními údaji podléhá přísné kontrole ze strany oprávněných služeb a provozovatel odpovídá za nedostatky, neúmyslné či úmyslné porušení.
Veškeré neoprávněné jednání při zpracování osobních údajů může mít za následek postih: disciplinární, správní a v některých případech i trestní.
Dne 1. července 2017 nabyl účinnosti federální zákon č. 13-FZ ze dne 02.07.2017, kterým se mění čl. 13.11 zákona o správních deliktech a stanoví rozšíření výčtu důvodů pro vyvození správní odpovědnosti za protiprávní jednání a výrazné zvýšení pokut.
Jedním z povinných dokumentů, které musí provozovatel osobních údajů připravit, aby vyhověl požadavkům federálního zákona ze dne 27. července 2006 č. 152-FZ, se nazývá Zásady zpracování osobních údajů, vysvětluje, jak společnost funguje s údaji zaměstnanců, klientů a dalších fyzických osob. Tento soubor je volně dostupný téměř na všech stránkách, které mají jakoukoli formu shromažďování osobních údajů.
Jak správně sestavit Zásady zpracování osobních údajů, jaké oddíly musí obsahovat? Roskomnadzor poskytuje vysvětlení k těmto otázkám.
Struktura Zásad zpracování osobních údajů
- Obecná ustanovení
- Účely shromažďování osobních údajů
- Právní důvody pro zpracování osobních údajů
- Objem a kategorie zpracovávaných osobních údajů, kategorie subjektů osobních údajů
- Postup a podmínky zpracování osobních údajů
- Aktualizace, opravy, výmaz a likvidace osobních údajů, odpovědi na žádosti subjektů o přístup k osobním údajům
1. Obecné cíle
V této části vlastně odpovídáte na otázku – k čemu slouží Zásady zpracování osobních údajů? Dále vysvětluje základní pojmy použité v dokumentu, jakož i práva a povinnosti provozovatele a subjektu osobních údajů.
2. Účely shromažďování osobních údajů
Umění. 5 federálního zákona č. 152-FZ ze dne 27. července 2006 vyžaduje stanovení konkrétních, legitimních účelů pro sběr dat. Není tedy možné zpracovávat osobní údaje, které neodpovídají těmto účelům.
Roskomnadzor uvádí, že účely zpracování osobních údajů mohou zahrnovat:
- z rozboru právních aktů upravujících činnost provozovatele;
- z účelů činností skutečně vykonávaných provozovatelem;
- z činností stanovených ustavujícími dokumenty provozovatele;
- z konkrétních obchodních procesů provozovatele v konkrétních informačních systémech osobních údajů (podle strukturního členění provozovatele a jejich postupů ve vztahu k určitým kategoriím subjektů osobních údajů).
3. Právní důvody pro zpracování osobních údajů
Federální zákon č. 152-FZ ze dne 27. července 2006 není právním základem pro zpracování osobních údajů. Tuto roli plní právní úkony, podle kterých provozovatel údaje zpracovává.
V Zásadách zpracování dat lze tedy specifikovat následující právní základy: federální zákony a regulační právní akty přijaté na jejich základě upravující vztahy související s činností provozovatele; statutární dokumenty provozovatele; smlouvy uzavřené mezi provozovatelem a subjektem osobních údajů; souhlas se zpracováním osobních údajů (v případech přímo neupravených právními předpisy Ruské federace, ale odpovídajících pravomocem provozovatele).
4. Objem a kategorie zpracovávaných osobních údajů, kategorie subjektů osobních údajů
Je důležité, aby se objem zpracovávaných osobních údajů nelišil od uvedených účelů zpracování.
Kategorie subjektů osobních údajů mohou zahrnovat: zaměstnance – současné i bývalé, kandidáty na volná pracovní místa, příbuzné zaměstnanců, klienty a protistrany (fyzické osoby), zástupce či zaměstnance klientů a protistrany.
Roskomnadzor upozorňuje na skutečnost, že pro každou kategorii subjektů a ve vztahu ke konkrétním účelům by měly být uvedeny všechny zpracovávané osobní údaje. Všechny případy zpracování zvláštních kategorií osobních údajů a biometrických osobních údajů (pokud existují) jsou popsány samostatně.
5. Postup a podmínky zpracování osobních údajů
Co je uvedeno v této části:
- seznam úkonů provedených s osobními údaji;
- způsoby zpracování osobních údajů;
- podmínky zpracování osobních údajů.
Pokud pro dosažení účelů zpracování osobních údajů dochází k interakci provozovatele s třetími stranami, pak potřebuje:
- vysvětlit podmínky předávání osobních údajů třetím stranám (včetně přeshraničního předávání údajů);
- uvést jména a umístění třetích stran;
- uvést účel přenosu dat a jeho objem;
- vyjmenovat zpracovatelské úkony, způsoby a další podmínky zpracování, včetně požadavků na ochranu zpracovávaných osobních údajů.
Provozovatel má právo předat osobní údaje orgánům šetření a šetření, jakož i dalším oprávněným orgánům ze zákonem stanovených důvodů.
Zásady zpracování osobních údajů by měly obsahovat informace o dodržování požadavků na důvěrnost osobních údajů (jsou uvedeny v čl. 7 federálního zákona ze dne 27. července 2006 č. 152-FZ) a informace o přijímání opatření (část 2 čl. 18.1, část 1 čl. 19).
Dále musí provozovatel uvést podmínku ukončení zpracování osobních údajů. Může se jednat o dosažení cílů zpracování, vypršení platnosti souhlasu se zpracováním, odvolání souhlasu subjektu osobních údajů se zpracováním, identifikaci protiprávního zpracování údajů.
Zvláštní pozornost by měla být věnována takovému problému, jako je ukládání osobních údajů. Nejprve je třeba uvést termíny. Za druhé jsou využívány databáze umístěné na území Ruské federace. Za třetí je zohledněna skutečnost, že uchovávání musí být prováděno ve formě, která umožňuje identifikaci subjektu osobních údajů pouze po dobu, kterou vyžadují účely zpracování. Za čtvrté je nutné zmínit další podmínky uchovávání, včetně zpracování dat bez použití automatizačních nástrojů.
6. Aktualizace, opravy, výmaz a likvidace osobních údajů, odpovědi na žádosti subjektů o přístup k osobním údajům
Podle Čl. 21 č. 152-FZ, osobní údaje je povinen provozovatel aktualizovat, pokud se potvrdí nepřesnost osobních údajů. Totéž platí pro potvrzení nezákonnosti zpracování.
Osobní údaje podléhají zničení při splnění účelů jejich zpracování a v případě, že subjekt osobních údajů odvolá souhlas s jejich zpracováním, pokud: nestanoví jinak smlouva, jejímž je subjekt osobních údajů smluvní stranou, příjemcem popř. ručitel; jinak není stanoveno v jiné smlouvě mezi provozovatelem a subjektem osobních údajů. Provozovatel nemá právo zpracovávat bez souhlasu subjektu osobní údaje z důvodů stanovených federálním zákonem č. 152-FZ ze dne 27. července 2006 nebo jinými federálními zákony.
Na základě čl. 20 je provozovatel povinen na požádání sdělit subjektu osobních údajů informace o jím prováděném zpracování osobních údajů.
Roskomnadzor doporučuje zahrnout do Zásad zpracování osobních údajů předpisy pro reakce na žádosti a odvolání subjektů osobních údajů, jejich zástupců a oprávněných orgánů ohledně nepřesnosti údajů, nezákonnosti jejich zpracování, odvolání souhlasu a přístupu k jejich údajům. Bylo by dobré do Zásad přidat vhodné formy žádostí a odvolání.
Vyvěšení Zásad zpracování osobních údajů v kanceláři a na webových stránkách
Každá osoba, jejíž údaje společnost zpracovává, má právo seznámit se se Zásadami zpracování osobních údajů. Proto musí být vyvěšen na veřejně přístupném místě. Použijte k tomu například informační stánek.
Pokud společnost shromažďuje osobní údaje prostřednictvím internetu, je povinna tyto Zásady zveřejnit na webových stránkách. Návštěvník webu si jej může prohlédnout kliknutím na odkaz.
Chcete-li se dozvědět o nejdůležitějších změnách ovlivňujících podnikání, připojte se k našemu kanálu na